Хакнути смартфон можна дзвінком у месенджері: реальні випадки

Виявляється, хакнути смартфон без жодної участі користувача можна не тільки через завантаження файла у спільні чати (про це я розповідав тут ), але також простим дзвінком у месенджері.
Нещодавно Meta, якій належить WhatsApp, поділилася деталями ураження більш ніж 100 абонентів цього месенджеру внаслідок застосування проти них супер-елітного комплексу Pegasus, розробленого ізраїльською компанією NGO Group.
Сталося це у 2019 році, закрили вразливість у 2020-му і наразі вона вже не працює.
Хоча не для всіх, але про це згодом.

Зараз розкажу як таке стало можливим, чи досі є актуальною загрози і шо робити.

Отже, як відбувалася ця атака у 2019 на деяких користувачів у WhatsApp.
NGO Group брала доступний код WhatsApp, розбирала його на молекули (extracting, decompiling and reverse-engineering WhatsApp's code), створювали свої «інсталяційні сервери WhatsApp» (WIS) і відправляли через них спеціально сформовані шкідливі запити (malformed messages) на справжні сервери WhatsApp від імені начебто легітимного користувача.
І таким чином встановлювали свого шпигунського агента.
Там ще багато технічних подробиць: про сигнальні сервери, автентифікацію та CVE-2019-3568, але то більше для технічних фахівців (гуглити zero-click incoming call WhatsApp Pegasus).

Звісно, 99,99% користувачів месенджерів навряд чи стануть жертвами Пегасів чи інших Графітів – переважно через астрономічно високу вартість таких хакерських інструментів.
Ціна зараження одного абонента - від кількох десятків до кількох сотень тисяч доларів, тому абсолютній більшості це не загрожує.

Але розслабляти булочки поки рано.
Тому що загрози можуть залишатися актуальними ще багато років, навіть після виявлення. Поясню на прикладі.

Життєвий цикл будь-якого елітного шкідливого софта (malware) приблизно такий: спочатку про нього ніхто не знає крім розробника і він продається заможним (переважно державним) клієнтам за багато мільйонів доларів.
Клієнти його застосовують проти своїх ворогів (жертв) і з часом ця малварь «палиться» (детектується) і тому її статус знижується з топового «0-day” (вразливість нульового дня) до вже поюзаного «1-day”. Відповідно, з різким зниженням ціни.
Тобто на цьому етапі (1-day) про цю вразливість знають не лише лиш всі (С), а вузьке коло фахівців.
Але досить скоро статус ще більше різко знижується, про вразливість дізнаються майже уся світова кібербезпека і її опис разом із способами захисту з’являється приблизно скрізь.
Розроблені засоби захисту від такої вразливості доставляються користувачам через «патчі» – оновлення як самих додатків, так і операційних систем.
І пересічному користувачу, щоб захиститися від раніше високорівневих, а тепер вже «сміттєвих» загроз, достатньо всього лише завантажити усі оновлення.

Але наразі багато користувачів не роблять навіть такої простої операції.
Не роблять з різних причин: від банального «а я не знав» до свідомого «не дозволю мене підслуховувати».

Також бувають випадки, коли оновлення ОС може призвести до часткової або повної непрацездатності операційної системи смартфону, в основному тимчасової. А то й до повного крашу системи.
І для декого це є аргументом не оновлюватися. Можу сказати, що подібні випадки трапляються раз на кілька років, а нормальні оновлення, які усувають старі вразливості – приблизно раз на місяць (плюс-мінус).
Тому з огляду на все це, моя порада така: оновлювати усе і завжди, але через день-два після виходу свіжого патчу, коли можливі проблеми оновлення вже виявлять та пофіксять.

До речі, і про патчі, і про інші правила особистого кіберзахисту (у тому числі про рекомендовані месенджери), я повільно й детально розказую на моєму власному онлайн-курсі

Але чим мене зацікавила саме ця історія.
Деталі цієї атаки з’ясувалися аж за 5 років після її проведення.
А це значить, що можливості хакерів, актуальні сьогодні - теж розкриються через роки.
І скоріш за все, про більшість з них невідомо сьогодні навіть самим розробникам месенджерів.
А ще подібні техніки можуть донині успішно  «працювати» у менш просунутих месендежрах.
А у майже ніяк не захищених типу Телеграм чи Дискорд – там взагалі страшно уявити що коїться.

Тому порадив би не відповідати на дзвінки від незнайомців у месенджерах: легальний абонент може спочатку написати повідомлення, представитися і пояснити що хоче. Якщо щось не так – можна просто заблокувати.
Дзвінки зі звичайної стільникової мережі навряд чи можуть нести суттєву загрозу – просто через застарілість технології – але не раджу передзвонювати на пропущені з незнайомих номерів. Кому дуже треба – той набере ще раз.
Спам-дзвінки слід просто блокувати у телефоні.
Кароч, порад у мене багато і їх всі не розкажеш у короткому дописі.
Тому я зібрав усе в окремому курсі, лінк дав вище.

Наприкінці скажу окремо за WhatsApp: цей випадок не означає що цей месенджер - несек’юрий, скоріше навпаки: виявив складну атаку, подав до суду на NGO Group, попередив користувачів про загрозу ще у 2019, та й має наскрізне шифрування за замовченням. Далеко не найгірший месенджер.

А найбільш сек’юрні месенджери, як на мене, наступні: це Signal, Threema, Wire, Session, SimpleX.
Категорично не рекомендую Telegram.
Принагідно закликаю усіх навчатися базовій кібербезпеці самим - і навчати цьому дітей.